職場の5sで考える情報セキュリティ ·...
TRANSCRIPT
寄 稿
2
職場の5Sで考える情報セキュリティ
JNSA 組織で働く人間が引き起こす不正・事故対応WG大日本印刷株式会社 野津 秀穂
総件数は、少ないものの原因のほとんどが、「封入ミス」などの「作業ミス」に起因する。 同様の傾向は、JNSAセキュリティ被害調査ワーキンググループの報告書(図2.)にも見受けられる。
2つの事例における「作業ミス」「誤操作」は、ヒューマンエラーである。「管理ミス」はルール未整備またはルール不徹底により、作業者が判断を誤った事例である。印刷産業に限らず、ほぼ全ての業種において、原因比率で「ミス」が大半を占める。 本稿では、「ミス」抑止を課題とし、職場の日常業務の中で有効な情報セキュリティ活動を考える。
5Sは、製造業の職場で定着している改善活動手法の一つである。5Sに情報セキュリティをテーマに加えることにより、身になじんだ改善活動として情報セキュリティに取り組むことが可能になる。 本稿は、西本逸郎ラック最高技術責任者の御好意を得て、2009 年の講演「セキュリティ強化に役立つ職場の「5S」活動」をベースに他の情報セキュリティ活動との関連を交えて紹介する。
「5Sで考える情報セキュリティ」の紹介に先立ち、本稿が対象範囲とする情報セキュリティ活動の課題を明確にしておきたい。 筆者が所属する印刷産業を例として、2009 年から 6年間で日本印刷産業連合会に報告された 77件の個人情報の取扱いにおける事故を現象別に分類した割合を図1.に示す。
1. はじめに
2. 情報セキュリティ事故に関する 原因分析
図 1. 印刷産業における個人情報に関する事故 1
40%
14%
12%
7%
5%
5%
5%
4%4%
誤操作 485件34.9%
盗難 77件5.5%
不正アクセス 64件 4.6%
設定ミス 43件 3.1%
不正な情報持ち出し 21件 1.5%
内部犯罪・内部不正行為 14件 1.0%
目的外使用 10件 0.7% バグ・セキュリティホール 7件 0.5%
ワーム・ウィルス 5件 0.4%その他 9件 0.6%
不明 5件 0.4%
管理ミス 449件32.3%
紛失・置忘れ 199件14.3%
図 2. JNSA2013 年集計 漏えい原因比率(引用)JNSA 2013 年情報セキュリティインシデントに関する
調査報告書
●本稿の内容は、筆者の個人的見解であり、必ずしも筆者が所属する組織の見解ではない。1.JFPI REPORT No.152 平成 26 年度 個人情報に関する事故報告p 21 一般社団法人 日本印刷連合会 2015 年 7 月
3
Sp
ecia
l Col
umn
JNS
A P
ress
SPECIAL COLUMN
職場の5Sで考える情報セキュリティ
「ミス」に起因する情報セキュリティ事故は、工程内で発見され最終納品前に除去できたとしても軽視すべきではない事象であり、原因分析と対策(再発防止活動)がなされている。
3.1 ハインリッヒの法則 2
ハインリッヒの法則は、「一つの重大事故の背景には、29 の軽微な事故があり、その背景には、300 の異常(ヒヤリ・ハット)が存在し、さらに幾千もの不安定状態が存在する。」という考え方である。 軽微な事故や「ヒヤリ・ハット」が「ミス」を原因とした事象である。事故の背景には必ず多くの前触れがあるので、類似した要因を持つ大きな事故に至らないよう「ミス」についても、ルールの見直し、作業改善など組織的な対策により重大事故防止に役立てることが求められる。
3. 2 割れ窓理論 3
建物の窓が壊れていることを放置すると、誰も注意を払っていないという象徴となり、「やがて他の窓もまもなく全て壊される」。「割れ窓」を「危険状態」と認識する。これが「割れ窓理論」の考え方である。 情報セキュリティでも、「ミス」への再発防止策を放置すると、大きな問題も気にならなくなり、その結果、事件に発展することもある。職場でも機密情報が机上放置されている状況(ルールの未整備やルール不徹底)では、何か問題が起きる可能性が常態化する。小さな不正を見逃さない組織風土を作ることにより、環境全体が除々に浄化されていくという考え方は、情報セキュリティ以外の分野でも、効果をあげている。
3. 3 不安全行動 4
大丈夫だろうなどの理由で意図的にルールを無視したり、悪意はないが不適切に行動したりして、結果として情報セキュリティ事故につながる行為を犯罪学では「不安全行動」という。「ミス」は、このような「不安全行動」から生じることが多い。 適切なルールを制定し、教育を行っても「不安全行動」が減少するとは限らない。効果的な工夫が求められる課題である。
以上の「ミス」抑止の考え方に基づき、情報セキュリティ事故の原因で、「ミス」の発生は、無視できない課題と認識できた。「ミス」撲滅活動は連綿として各企業で取り組まれ一定の効果を上げている。
4.1 ヒヤリ・ハット活動 ハインリッヒの法則に基づき、作業者が体験したヒヤリ・ハット事例を集めて、事故防止のための対策につなげるよう活用する取組みを「ヒヤリ・ハット活動」
3. 「ミス」抑止に関する考え方
4. 「ミス」抑止のための取り組み
図3.ハインリッヒの法則
2.ハインリッヒ研究会編訳「ハインリッヒの事故防止」 1956 年3.George L. Kelling, Catherrine M. Coles: “Fixing Broken Windows”, Simon & Schuster 1977 年4.環境犯罪学からのアプローチ「内部不正対策 14 の論点」JNSA 編 東京大学大学院 医学系研究科 高木大資 2015 年
4
職場の5Sで考える情報セキュリティ
と言う。事故防止のための対策は、ミスを犯した個人の技量に起因すると考えず、ルール整備・見直しや技術的改善などマネジメントの課題として取り組むことが必要である。 ヒヤリ・ハット事例を集める際、体験した作業者が自己の技量不足を原因として感じると報告に至らないことがある。作業者は技量の研鑽も一つの目標であるため、技量不足を「ミス」として捉えないからである。また、前述の「不安全行動」のように当事者意識が欠如していると見逃すこともある。 この場合でも、技量不足をミスの原因としてはならない。技量が不足しても事故に至らないよう防御機能を持つ工程設計を考えるなどマネジメントの課題とする。 作業者が体験を「どのように感じるか」をうまく引き出すことにより、当事者意識を持った改善活動が実現する。指導者と作業者がコミュニケーションを重ねて事例を収集することが重要になる。
4. 2 火の用心活動 作業者が見逃す「ヒヤリ・ハット」や「不安全行動」を見つける活動として「火の用心活動」がある。発見する点検者を決めて職場をパトロールし、「(常態化した)割れ窓」を見つけたら「イエローカード」「レッドカード」を貼り改善テーマに取り上げる。 「火消し」より「火の用心」、「危険状態を見逃さない」という視点で、大きな事故が起きる前、つまり「ヒヤリ・ハット」程度の小事故や「ヒヤリ・ハット」が顕在化する前の「不安全行動」の時点で対策する活動である。点検者が客観的に事例を収集するため、作業者が見逃している(作業者は日常作業のため不自然さを感じない)事象の発見に役立つ。まずは、顕在化している「割れ窓」を発見することに努めるが、事後的な対処に終始しないよう、危険状態になりそうな可能性を発見することも心掛けたい。ここでも点検者は作業者と充分なコミュニケーションを取り、当事者意識の高揚を図りながら進める。作業者の積極的参加は必須である。
4. 3 小集団活動 職場内で小グループを編成し行う改善活動として「小集団活動」がある。特に品質管理を目的とした場合「QCサークル」と呼ぶ。 「小集団活動」は、作業者の自発的な活動テーマとして扱うことを原則として発足し、当初は、休憩時間や就業時間後に実施し業務時間に含めなかった。現在では、業務時間中の改善活動としている。日本を除き世界的には、改善は、スタッフ部門など専門チームの職務であり、作業者の職務として改善活動を位置づけることは、諸外国から軋轢を生じことがある。日本の活動でも、課題発見の精度(重要な課題が漏れなく発見できたか)や改善のレベルは、必ずしも問わない。作業者一人ひとりが、自分の作業を見つめ、改善提案を通して経営に参画している意識を持つことにより、仕事へのモチベーションを高揚させるところに、大きな効果を求めている。 小集団活動は、業務として会社が認め、良い成果については改善として採用し、達成感を職場で共有化することにより活動が活性化する。達成感がモチベーシ
[コラム]マネジメントの分野で「火の用心管理」というと全く別の行動を指し、悪いマネジメントの見本とされる。どのような場面で使うか、この用語を使う場合の留意点である。マネジメント分野での「火の用心管理」とは、江戸時代は火事が多かったが、城主が天守閣から「今日は、風が強く出火が心配だ」と感じて、家老に「火の用心せよ」と命令した。家老は、町役人に「火の用心せよ」と伝えた。町役人は番太(岡っ引き)に「火の用心せよ」と伝え、番太は、拍子木をたたいて「火のよーじん」と声をあげて町内を巡わった。伝言は伝わったが実際の効果につながっているか?本来は、「火の元点検」、「残り火の消し忘れ点検」など、トップの方針である「防火」を実現するため、各階層の管理者にて、具体的施策を明確にしないといけない。
5
Sp
ecia
l Col
umn
JNS
A P
ress
SPECIAL COLUMN
ョンの高揚に結び付き「不安全行動」の発生が抑制できる。
4. 4 PDCAサイクル 目標を設定してその実行計画(Plan)を立案し実行(Do)し、実行結果と計画(目標値)との乖離(誤差)を測定して評価(Check)する。計画(目標値)と実行結果に乖離(誤差)があった場合には、是正措置・対策(Act)を講じる。 実行結果をチェックして次の改善活動に結びつける仕組みをフィードバック・システムと呼び、「マネジメント(管理)」の基本的な考え方である。 1950 年代、品質管理の父といわれるW・エドワード・デミング博士が、生産プロセス(業務プロセス)の中で継続的に行うために改善プロセスが連続的なフィードバックループとなるように提案した。このためデミングサイクル(Demingcycle)とも呼ぶ。 PDCAサイクルの考え方は、製造プロセス品質の向上や業務改善などに広く用いられており、情報セキュリティマネジメントシステム(ISO27001)や個人情報保護マネジメントシステム(JISQ15001)の基礎となるマネジメントの仕組みである。 PDCAサイクルは、第二次世界大戦中にドイツのフォン・ブラウン博士が、ロンドン攻撃のために開発したV2ロケット兵器の技術として発明した自動姿勢制御機構(フィードバック制御=PDCA)がPDCAの起源となる。大戦後、フォン・ブラウン博士はアメリカに移住し、アポロ計画の中心的科学者として活躍した。軍事機密だったPDCAサイクルは、その後、品質管理や経営学に広く応用された。 この方式の画期的な点は、飛行中に推進方向を自動修正しながら目標を達成する方式にある。
同時期に、アメリカでもJ.W.フォレスター博士の研究チームが、フィードバック制御を用いて爆撃機を砲撃するための自動照準装置の開発を進めた。 この研究は、戦後にPDCAを企業活動などに広く応用された。5PDCAを企業活動に応用する効果としては、プロセス(作業工程)を測定(観測)しながら、作業中に是正指示を行い目標達成する(例えば、後工程に不良品を送らない)ことにある。1916 年、H.ファイヨールは、著書「産業並びに一般の管理 都筑栄訳」の中で「管理とは、予測し、組織し、命令し、調整し、統制すること」と定義した。この「統制」が、後に「PDCA」と融合しマネジメントシステムとして確立した。
図4.V2ロケットの自動姿勢制御機構
図5.PDCAサイクルの経営学への応用 6
5.インダストリアル・ダイナミックス」J.W.フォレスター著 石田 晴久、小林 秀雄訳 紀伊国屋書店 1971 年6.企業活動のモデル「経営戦略論」 H.I. アンソフ著、広田寿亮訳 産業能率短期大学出版部 1985 年
!!
!!
!
6
職場の5Sで考える情報セキュリティ
4. 5 5S活動 「5S活動」とは「整理」「整頓」「清掃」「清潔」「躾(しつけ)」のことで、いずれも「S」で始まる言葉の総称。製造業では職場改善の原点でもある。 「5S活動」は日本でつくられた「皆が当たり前のことを、当たり前に行う」ための管理手法であり、今日では世界中で実施されている。7表 1には、海外で取り組まれている5Sの各国語訳の事例を示す。 「皆が当たり前のことを、当たり前に行う」ことの重要性について改めて整理すると、例えば、担当者が替わっても、同品質の製品やサービスが求められるのは当然のことであり、顧客は、つくった人(またはサービスする人)に関心があるわけではなく、購入する製品やサービスに満足することを求めている。そのため会社では「決められたことを、決められたように確実に守り、実行できる人」を育てることが重要になることが認識できる。
4. 6 それでも事故は起きる 「ヒヤリ・ハット活動」、「火の用心活動」、「小集団活動」、「PDCAサイクル」、「5S活動」が一定の効果をあげているものの、前掲 JNSAセキュリティ被害調査ワーキンググループの報告書のとおり、それでも事故は
起きる。 情報セキュリティに関する社内ルール、業務手順書、改善見直し手順などは多岐に及び、もとより教育により知識としては知っているが、実際に自分の業務に、どのルールが適用するかと判断する際に齟齬が生じることがある。8 知識と行動を結びつけるためにも、追加策を工夫したいところである。 他の活動と独立した特別な活動と考えることなく、日常の改善活動に情報セキュリティの視点を加えることにより、知識と行動の遊離を抑制し、当事者意識を持ち、身に溶け込んだ活動としたい。 本稿では、製造業の職場で「作業者がなじんだ日常の改善活動」として「5S活動」を取り上げ、情報セキュリティの視点を加えることを紹介する。
「5S活動」の利点は、「整理」、「整頓」から始まり、改善対象を身の回りから探す、わかり易さにある。 「5S活動」は規制を求めるものではなく、「働きやすい」環境をつくることを目指す。働きやすい環境は、ミスを防止し、情報セキュリティ強化に役立つ。 情報セキュリティ強化は、製品・サービスの競争力を
日本語 英語 イタリア語 フランス語 オランダ語 インドネシア マレー語 繁字体 簡字体
5S 5S 5S 5S 5S 5R 5B 5S 5S
整理 sorting SCEGLIERE e SEPARARE
S'organiser Scheiden Ringkas (Buang) Buang 整理 整理
整頓 setting in order SISTEMARE e organizzare
Situer Schikken Rapi (Beres) Beres 整頓 整頓
清掃 shining SORVEGLIARE Scintiller Schoonmaken Resik (Bersih) Bersih 清掃
清潔 standarizing STANDARDIZZARE e migliorare
Standaliser Standaardiseren Rawat (Bebas) Bebas 清潔 清洁
躾(しつけ) systaining discipline SOSTENERE nel tempo Suivre In Stand houden of Systematiseren
Rajin (Biasa) Biasa 維持紀律 素養
表 1. 5Sの各国語標記例
5. セキュリティ強化に役立つ職場の「5S」
7.「改善のための5Sと英語表現」松崎 久純、 山名 敏文 三修社 2005 年そのまま使えるモノづくり現場の英語コミュニケーション 松崎 久純「工場管理」日刊工業新聞 2010 年 2 月から 5S を連載
8.内部不正の原因と対策に関する考察「内部不正対策 14 の論点」JNSA 編 大日本印刷 野津 秀穂 2015 年 ここでは、当事者意識の醸成「教育によって得た知識と自分の行動が必ずしも結びついていない」課題を提起している。
清扫
7
Sp
ecia
l Col
umn
JNS
A P
ress
SPECIAL COLUMN
高め、安全性も高める。「情報セキュリティ」は製品・サービスの品質そのものであることを認識し、モチベーションの高揚にも役立てたい。 「5S活動」は、作業者個人の単独活動ではなく、「小集団活動」の中で、すべての人が参加することを原則としている。作業者が自分の作業を見つめると共に、自分の作業について後工程への貢献度を知り、自分の作業と自職場全体の目標の共有化を意識する「きっかけ」としたい。職場における人間関係(主観的な協働意識)は、作業効率に大きな影響をもたらすことが知られている。9作業能率改善は、「作業ミス」の抑制にも効果が期待できる。 このように「5S活動」は、情報セキュリティも包含した改善活動の1つとなるが、独立した活動として捉えると、職場で実践している他の改善活動の考えと分離し、作業者の混乱を誘引する。他の改善活動の考え方も取り入れ体系化し、一体化することで、初めて身についた実感のある活動となる。 情報セキュリティ強化に役立つ職場の5S活動を紹介する中で、他の改善活動の関連にも触れたい。
5.1 「整理」Sorting
もし必要なものと不必要なものが一緒にされていると、間違ったモノや情報を選ぶリスクがある。 整理することで、見知らぬ情報の存在や機密にすべき情報が無造作にさらされているなどの誤りを、ミスが起きる前に発見できるメリットがある。 整理は、職場のスペースを効果的に使用することも助ける。整理することで、仕事は随分とラクになる。 職場にあるモノや情報は、すべて必要なものばかりだろうか?注意深く見ると「もしかしたら必要かもしれ
ない」「廃棄してしまって後に必要だったら…」など、保管期限が明確でないこと、廃棄や消去のタイミングについて判断がつかないので、ついつい不要になった書類やデータを保管していることがある。不要になった書類やデータを保管していると、漏えいなどのリスクを抱え続ける(リスクの常態化)ことになる。
「整理」は、「あるべき姿」を決めることであり、「PDCAサイクル」の実行計画(Plan)に位置する。「整理」という言葉で目的(解決すべき課題)を定義しているので、作業者自らが身の回りの課題を探し易い。考え方が定着した次の段階では、「ヒヤリ・ハット活動」で収集した事例を解決すべき課題として取り上げて「整理」する。
5. 2 「整頓」Setting in Order
9.ハーバート大学メイヨー博士が、1924 ~ 1932 年にアメリカのウエスタン・エレクトリック社ホーソン工場で行った実験では、作業集団の人間関係が作業能率に介在していることがわかり、経営管理の人間関係論として発展した。
整理は , 必要なものと不必要なものを分けることです。Sorting, the Necessary from Unnecessary.
不要なものは「整理」して捨てる。(例)• 書類やメールは内容を確認し、社外秘・秘・極秘な
ど情報の重要度に応じて分類し、必要な情報は保管期限を定める。
• 分類した情報の責任者が誰かを決める。• 不要なものを判断して捨てる。多くのものを残すこ
とで、必要なものを探す効率が悪くなる。• 得意先から預かった情報は、業務終了後に返却ま
たは消去・廃棄する。保管する場合は、保管期限を決めて得意先の了解を得る。
• 重要な書類は、鍵のかかる袖机やキャビネットに保管し、勝手に持ち出されないようにする。
• データは、サーバに保管しアクセス管理を徹底する。
「整頓」は、誰もが必要なものを見つけられるように、すべてのものを便利に配置することです。Setting in Order, Means the Convenient Placing of all Items, so Everyone can Easily Find What They Need.
8
職場の5Sで考える情報セキュリティ
情報セキュリティの観点では、必要なものを取り出せるだけではなく、情報が紛れたり紛失したり行方不明にならないような具体的施策が必要である。 必要なものを探して歩き回るのは、時間のムダとなる。整理と整頓は、職場のムダを減らす。 仕事を大変にするためではなく、仕事をシンプルかつラクにするための5S活動として意識したい。何かを規制するゼロサムではなく、目的を達するための施策を工夫するポジティブサムで考える。
整理された状態から、誰もが、必要な時に、必要なものや情報を即座に取り出せるよう「一目でわかる」工夫をする。例えば、書類はバインダー等に綴じて背表紙をつけ、複数の文書が綴じられている場合はインデックスをつける。データは、フォルダに分類して保管する。重要度の分類表示と保管期限、管理者の表示も忘れてはならない。 「整理」で決めた「あるべき姿」を具体的に実施するのが「整頓」であり、「PDCAサイクル」の「実行(Do)」に位置する。
5. 3 「清掃」Shining
整理整頓をしていても、汚れや垢は溜まる。清掃の中に点検を組み込んで清掃点検とすることで問題の原因を見つけ、対策を講じ改善することが望まれる。
きれいに掃除をすることで、品質や歩留まりの向上につながり、「ミス」の抑制になる。いつでも職場をきれいに維持する。この意味は、仕事が終わったときだけでなく、仕事をしている間も、きれいにするということである。例えば、使った書類は、その都度、所定の位置に戻す。受領したデータは、その都度、情報の重要度を分類し必要な情報は保管期限を定めサーバに保管してアクセス権限を設定する。
「清掃」は、「整理」(あるべき姿)としての計画と実行した「整頓」の差異を点検することであり、「PDCAサイクル」の評価(Check)に位置する。日常作業を自ら点検する「自己点検」の他、「火の用心管理」の点検者によるパトロールも「清掃」に相当する。 「清掃」して初めて、残る課題(不備事項)を発見することもできる。
5. 4 「清潔」Standardizing
整理、整頓、清掃を一度は実施できるが、継続することは難しい。清潔は、整理、整頓、清掃をいつも実施し続けることである。実施し続けるために標準化を進める。自分の仕事がし易くなるように自ら工夫する。この結果「きれい」な状態を維持する。未整備な状態を「いつもの状態」と無感覚に陥ってはならない。
必要なものをいつでも取り出せるよう「整頓」する。(例)• 使ったものは元の位置に戻す。• 新しく入ったものはルールに従い配置する。• 重要な情報の管理は、貸出し記録等に記録をつけ
て、所在を明確にする。• 権限のある人だけが取り出せるアクセス管理設定も
必要。
「清掃」は、きれいにすることです。きれいにするために点検清掃します。Shining is Cleaning.Let's Check and Keep Everything Tidy.
常に見直しを実施し、不要になった情報を破棄・消去して「清掃」する。
(例)• 不要なメモや不要な一時ファイル等は削除する。• 情報の内容に応じて、シュレッダー処理する。• 重要な情報は、バックアップも検討する。•異動となった人のアクセス権限の見直しを行う。•不要サイトへの通信を遮断する。
「清潔」は、整理、整頓、清掃の基準を維持することです。基準を維持するために、標準化を進めます。Standardizing, Means Maintaining Standards for Sorting, Setting in Order and Shining.
9
Sp
ecia
l Col
umn
JNS
A P
ress
SPECIAL COLUMN
「清潔」は、「清掃」で発見した課題を改善する工夫であり「PDCAサイクル」の「是正計画(Act)」に位置する。是正計画は、対処療法的な対策ではなく、継続できるよう対策手順として標準化する。
5. 5 「躾(しつけ)」Sustaining Discipline
「躾」とは、仏教用語の習気(じつけ)を原義とする。習気(じつけ)とは、善悪の判断が、香りが衣に染み付いて残存するような「自然に身についている」様子を言いう。小笠原礼法により「躾」という文字に統一して使われるようになった。躾を身につけるためには、もちろん練習・訓練が必要だが、社会問題となるような暴力や虐待、調教を「躾」と呼ぶことは間違った解釈である。
5S活動を小集団活動に取り入れることにより全員が当事者意識を持って自らの作業を見つめ、自分の仕事を大切に考えてもらいたい。
製造業の職場で定着している改善活動手法の一つである5Sに情報セキュリティをテーマに加えることにより、身になじんだ改善活動として情報セキュリティに取り組むことを紹介した。 本稿は、2009 年の西本逸郎ラック最高技術責任者の講演「セキュリティ強化に役立つ職場の「5S」活動」の考え方をベースとしている。改めて謝辞を申し上げます。
常に「清潔」にして異常信号を見逃さない。(例)• コンピュータ・ウイルス対策やパソコンのセキュリ
ティ対策を実施し感染予防をする。• 会社で購入したアプケケーションは、使用許諾を守
り適切なソフトウェアを使用する。不正なソフトウェアは使わない。• 会社の資産が盗難に遭わないよう盗難防止を行う。
6. 終わりに
「躾」は、「全員が決められたことを、決められたように、必ず実行できるようになる」ことです。このために、決めたことをルール化して維持します。Sustaining Discipline, Means Everybody doing what is expected, as expected. Let's Take What has Been Decided and Create a set of Rules.
決められたルールや手順を正しく守る習慣を「躾」る。職場での教育も大切ですが、社員として、遵守しなければいけない項目がある。
(例)• 改善した対策は、ルール化して全員に教育する。• 教育内容を理解し、役割レベルに応じて実践する。• 実践の結果を振返り、できていない部分を強化する。• ウイルス等に感染したら、感染が拡大しないよう
ネットワークケーブルが抜けるよう訓練する。